- host-based, то есть обнаруживающие атаки, направленные на
конкретный узел сети;
- network-based, то есть обнаруживающие атаки, направленные на всю
сеть или сегмент сети.
Системы обнаружения атак, контролирующие отдельный компьютер,
как правило, собирают и анализируют информацию из журналов регистрации
операционной системы и различных приложений.
Системы обнаружения атак уровня сети собирают информацию из
самой сети, то есть из сетевого трафика.
Обнаружение атак требует выполнения одного из двух условий - или
понимания ожидаемого поведения контролируемого объекта системы или
знания всех возможных атак и их модификаций. В первом случае
используется технология обнаружения аномального поведения, а во втором
случае - технология обнаружения злоумышленного поведения или
злоупотреблений. Вторая технология заключается в описании атаки в виде
шаблона или сигнатуры и поиска данного шаблона в контролируемом
пространстве (например, сетевом трафике или журнале регистрации). Эта
технология очень похожа на обнаружение вирусов (антивирусные системы
являются ярким примером системы обнаружения атак), т.е. система может
обнаружить все известные атаки, но она мало приспособлена для
обнаружения новых, еще неизвестных, атак. Подход, реализованный в таких
системах, очень прост и именно на нем основаны практически все
предлагаемые сегодня на рынке системы обнаружения атак.
Достарыңызбен бөлісу: |